På FiberHome-routrar används av leverantörer för att ansluta abonnenter till GPON optiska kommunikationslinjer, 17 säkerhetsfrågor identifierades, inklusive närvaron av bakdörrar med fördefinierade referenser som möjliggör fjärrkontroll av utrustning. Problemen tillåter en fjärrangripare att få root-åtkomst till enheten utan att godkännas.
Hittills har sårbarheter bekräftats i FiberHome HG6245D- och RP2602-enheter, samt delvis i AN5506-04- * -enheter, men problemen kan påverka andra routermodeller från detta företag som inte har testats.
Det observeras att som standard IPv4-åtkomst till administratörsgränssnittet på de studerade enheterna är begränsat till det interna nätverksgränssnittet, vilket endast tillåter åtkomst från det lokala nätverket, men samtidigt, IPv6-åtkomst är inte begränsad på något sätt, så att befintliga bakdörrar kan användas när man kommer åt IPv6 från det externa nätverket.
Förutom webbgränssnittet som fungerar via HTTP / HTTPS, ger enheterna en funktion för fjärraktivering av kommandoradsgränssnittet, till vilket den kan nås via telnet.
CLI aktiveras genom att skicka en speciell begäran via HTTPS med fördefinierade referenser. Dessutom upptäcktes en sårbarhet (stack overflow) i http-servern som serverar webbgränssnittet, utnyttjad genom att skicka en begäran med ett särskilt utformat HTTP-cookievärde.
FiberHome HG6245D-routrar är GPON FTTH-routrar. De används främst i Sydamerika och Sydostasien (från Shodan). Dessa enheter kommer till konkurrenskraftiga priser men är mycket kraftfulla, med mycket minne och lagring.
Vissa sårbarheter har testats framgångsrikt mot andra fiberhome-enheter (AN5506-04-FA, firmware RP2631, 4 april 2019). Fiberhome-enheterna har en ganska liknande kodbas, så andra fiberhembenheter (AN5506-04-FA, AN5506-04-FAT, AN5506-04-F) är sannolikt också sårbara.
Totalt forskaren identifierade 17 säkerhetsproblem, varav 7 påverkar HTTP-servern, 6 till telnet-servern och resten är associerade med systemomfattande fel.
Tillverkaren underrättades om de problem som identifierades för ett år sedan, men ingen information om en lösning har mottagits.
Bland de identifierade problemen är följande:
- Läckt information om undernät, firmware, FTTH-anslutnings-ID, IP- och MAC-adresser i scenen innan du skickar autentisering.
- Spara användarnas lösenord i registret i klartext.
- Vanlig textlagring av referenser för att ansluta till trådlösa nätverk och lösenord.
- Stacköverflöde på HTTP-server.
- Närvaron i firmware av en privat nyckel för SSL-certifikat, som kan laddas ner via HTTPS ("curl https: //host/privkeySrv.pem").
I den första analysen är attackytan inte enorm:
- - endast HTTP / HTTPS lyssnar som standard på LAN
- - Det är också möjligt att aktivera en telnetd CLI (inte tillgänglig som standard) på port 23 / tcp genom att använda hårdkodade referenser i webbadministrationsgränssnittet.På grund av bristen på en brandvägg för IPv6-anslutning kommer alla interna tjänster att vara tillgängliga via IPv6 (från Internet).
När det gäller bakdörren som identifierats för telnetaktivering nämner forskaren det http-serverkoden innehåller specialförfrågan "/ Telnet", samt en "/ fh" -hanterare för privilegierad åtkomst.
Dessutom hittades hårdkodade autentiseringsparametrar och lösenord i firmware. Totalt identifierades 23 konton i http-serverkoden, kopplade till olika leverantörer. Och när det gäller CLI-gränssnittet är det möjligt att starta en separat telnetd-process med root-privilegier på nätverksport 26 genom att skicka ett base64-skript förutom att definiera ett allmänt lösenord "GEPON" för att ansluta till telnet.
Slutligen om du är intresserad av att veta mer om det kan du kolla följande länk.